개인정보보호위원회는 전 분야 마이데이터 시행을 위한 '개인정보 전송 방법 및 개인정보관리 전문기관 지정 등에 관한 고시' 제정안을 9월 30일부터 10월 21일까지(22일) 행정예고한다고 밝혔다.
이번 고시 제정안은 작년 3월 개인정보 보호법 및 같은 법 시행령 개정에 따라 도입되는 개인정보 전송요구권 제도의 본격 시행(2025년 시행)을 위해, 고시 위임사항인 개인정보 전송 요구의 방법, 전송방식, 개인정보관리 전문기관 지정 및 개인정보 전송 지원 플랫폼 등록 절차 등 세부 사항을 규정했다.
첫째, 정보주체가 전송요구권을 원활하게 행사할 수 있도록 전송 요구의 방법 및 전송 방식 등 시행령에서 위임한 사항을 구체화했다. 정보주체는 정보전송자에게 전송 요구 목적, 전송받는 자, 전송을 요구하는 개인정보 등을 특정하여 전송요구서를 제출하여야 하고, 정보전송자는 정보 전송의 안전성과 신뢰성이 보장될 수 있도록 정보 전송 시 안전한 암호 알고리즘으로 암호화하는 등 방식으로 정보를 전송하여야 한다.
둘째, 정보주체의 요구에 따라 정보를 전송받을 수 있는 전문기관의 지정요건을 규정했다. 전문기관으로 지정받으려는 자는 전송받은 정보를 안전하게 관리할 수 있도록 기술기준 및 전문성, 안전성 확보조치 수준, 재정능력 등을 적정하게 갖추어야 한다.
구체적으로는 ▲표준 전송 절차, 연계방식 및 전송 보안 기준을 충족하는 기능 구축, 시스템의 운영 및 보호가 가능한 네트워크 구성 등 설비 및 기술, ▲보호정책 수립, 접근권한의 관리, 접근통제 등 안전한 보호체계 그리고 ▲손해배상책임의 이행을 위한 최저가입금액 10억 원 이상의 보험 또는 공제 가입 등 재정능력의 기준을 충족하여야 한다.
셋째, 전문기관의 지정 및 심사 등에 관한 절차를 마련했다. 전문기관의 지정권자는 개인정보위 또는 관계 중앙행정기관의 장으로 하되, 전송받고자 하는 정보와의 업무 관련성을 고려하여 결정된다.
전문기관의 지정절차는 서류심사, 현장심사, 종합심사의 순으로 진행될 예정이다. 개인정보 보호, 정보보호 및 관계 분야의 전문가로 구성된 지정심사위원회가 심사하며, 지정권자는 지정심사위원회의 심사결과를 확인하여 지정이 적합하다고 인정하는 경우에 전문기관으로 지정한다.
넷째, 전문기관 지정심사 전에 사업자의 불필요한 비용 투자를 방지하고자 사업계획서 등의 적정성을 미리 검토하는 예비지정 절차를 마련했다. 예비지정을 받은 자는 예비지정을 받은 날부터 6개월 이내에 예비지정의 내용을 이행하여 지정을 신청해야 한다. 그 밖에 변경승인, 재지정, 지정취소 및 취소에 따른 조치 등 기준·절차를 규정했다.
개인정보위는 고시 제정안에 대한 행정예고 과정에서 각계의 의견을 들어 충실히 반영할 계획이라고 밝혔다.
한편, 개인정보 전송요구 대상이 되는 정보전송자 및 전송 정보의 기준은 관계부처, 산업계 등과 충분히 협의를 통해 추후 고시 제정안을 별도로 마련하여 행정예고할 예정이다.
이번 고시 제정안은 개인정보위 누리집에서 확인할 수 있으며, 의견이 있는 기관ㆍ단체 또는 개인은 전자우편 및 일반우편 등으로 10월 21일까지 의견을 제출할 수 있다.
[보도자료출처: 개인정보보호위원회]